دیجیزا/ مایکروسافت با غیرفعالکردن کامپایلر JIT جاوا اسکریپت در حالت فوق امن (Super Duper Secure Mode) مرورگر اج، از امنیت بیشتر این مرورگر خبر میدهد.
مایکروسافت برای امنیت بیشتر، کامپایلر JIT جاوا اسکریپت مرورگر اج را غیرفعال میکند. بهگزارش zdnet، جاناتان نورمن، سرپرست تیم تحقیقات آسیبپذیری مایکروسافت، جزئیات آزمایشی را توضیح داد که در آن با غیرفعالکردن برخی ویژگیهای مرورگر اج، امنیت این مرورگر را افزایش دادهاند. این تیم در آزمایش مذکور برای امنیت بیشتر مرورگر اج، کامپایلر جاوا اسکریپت JIT-بهموقع (Just-In-Time) را غیرفعال کرد.
او قابلیت JIT را فرایند بسیار پیچیده با خطای کم توصیف کرد که برای تعداد کمی از مردم درککردنی است و آن را دلیل نیمی از آسیبپذیریهای موتور جاوا اسکریپت V8 دانست.
با غیرفعالکردن این قابلیت، مایکروسافت اج امنیت فناوریهایی مانند CET و ACG و CFG را میتواند حفظ کند که پیشازاین با قابلیت JIT ناسازگار بودند.
نورمن اضافه کرد:
متأسفانه بهدلیل ارائه محتوای نامطمئن بهوسیله این فرایند رندرساز، بهناچار تاحدممکن آن را غیرفعال کردیم. با این اقدام علاوهبر کاهش تعداد اشکالات امنیتی، اجراییشدن اجزای تشکیلدهنده این فرایند نیز دچار مشکل خواهند شد. با این کاهش سطح حمله نیمی از باگهای موجود در اشکالات امنیتی از بین میرود و نیمی دیگر نیز بهسختی اجرا میشود. بهعبارتدیگر، درکنار کاهش هزینهها برای کاربران، هزینههای هکرها را افزایش میدهیم.
با وجود کاهش ۵۸ درصدی عملکرد مرورگر اج بدون JIT فعال در آزمونهای بنچمارک، کاربران تغییر خاصی احساس نخواهند کرد.
درحالحاضر، Super Duper Secure Mode با فعالسازی CET ازطریق آدرس edge://flags برای کاربران canar و dev و نسخههای آزمایشی مرورگر کروم دردسترس است؛ اما با WebAssembly سازگار نیست.
نورمن گفت:
امیدواریم در آینده امنیت CET و ACG و CFG را در فرایند رندرساز بتوانیم حفظ کنیم و پسازآن نیز راهی برای تشخیص هوشمندانه کاهش تعداد اشکالات امنیتی و دادن اختیار به کاربر برای فعال یا غیرفعالکردن این قابلیت پیدا کنیم. ماهیت هر قابلیتی تغییرپذیربودن آن است و غیرفعالکردن JIT هم تنها یکی از آزمایشهای انجام شده است. هنوز مشکلات فنی زیادی برای غلبه پیش رو داریم و هنگام معرفی رسمی این قابلیت عبارتی حرفهایتر از Super Duper Secure Mode بهکار خواهیم برد.
نورمن در توییتر از برنامههای تیم یادشده برای انتقال این قابلیت به سیستمعامل اندروید و MacOS و سازگاری آن با WebAssembly خبر داد.
دیدگاه شما کاربران درباره این خبر چیست؟